Планирование мероприятий по совершенствованию СОИБ

Планирование работ по созданию/модернизации системы обеспечения информационной безопасности организации субъекта-НПС с учетом требований Положения 382-П осуществляется на основе:

  • результатов самооценки организации-субъекта НПС;
  • результатов проведения внешней оценки соответствия системы обеспечения информационной безопасности организации-субъекта НПС требованиям Положения 382-П.

В ходе планирования работ по созданию/модернизации системы обеспечения информационной безопасности организации субъекта-НПС специалисты «Лаборатории ВС» выделяют:

  • Приоритетные мероприятия (не требующие существенных затрат), реализация которых обеспечивается путем:
    • разработки (внесения изменений и доработки) локальных нормативных актов и документирования отдельных технологических процессов, связанных с обеспечением защиты информации на стадиях жизненного цикла информационных систем, обеспечивающих реализации технологических процессов по переводу денежных средств;
    • конфигурирования используемого в Банке оборудования и программного обеспечения, реализующего функционал по защите информации.
  • Перспективные мероприятия(требующие внедрения дополнительных средств и систем), обеспечивающих выполнение отдельных требований Положения 382-П, а так же рекомендации, которые в силу определенных особенностей требуют существенного пересмотра системы менеджмента информационной безопасности организации-субъекта НПС.

Специалистами нашей компании проводится оценка степени влияния рекомендуемых мероприятий на значения итоговых показателей и оценка финансовых и временных затрат на их реализацию.

Результаты данной оценки могут использоваться Заказчиком для определения приемлемого уровня соответствия требованиям к защите информации при осуществлении переводов денежных средств на текущий момент и позволяют спрогнозировать рост показателей соответствия в зависимости от затраченных ресурсов.

Для кредитных организаций, учитывая схожесть требований Положения 382-П с требованиями Стандарта по обеспечению информационной безопасности организаций банковской системы РФ (СТО БР ИББС), планирование работ по созданию/модернизации системы обеспечения информационной безопасности рекомендуется проводить с учетом требований Стандарта Банка России.

Состав работ

  • Согласование с Заказчиком уровня соответствия требованиям к защите информации при осуществлении переводов денежных средств, достижение которого должно быть обеспечено в ходе реализации разрабатываемого плана мероприятий.
  • Разработка требований к составу организационных и технических мер по защите информации.
  • Разработка требований к составу необходимого оборудования (в том числе средств защиты информации) и его согласование с ответственным за ИТ подразделением Заказчика (корреляция с планами ИТ-подразделения, при их наличии).
  • Согласование сроков реализации организационных мероприятий и мероприятий по поставке и пуско-наладке технических средств и средств защиты информации.

Результаты работ

  • План организационных и технических мероприятий по достижению приемлемого для организации-субъекта НПС уровня соответствия требованиям Положения 382-П, позволяющий реализовать оптимальный сценарий мероприятий по модернизации системы обеспечения информационной безопасности организации-субъекта НПС, направленных на выполнение требований к защите информации в НПС, за счет прогнозирования затрат на реализацию и оценки степени их влияния на значения обобщающих показателей.
  • Техническое задание на реализацию комплекса мероприятий, выполнение которых обеспечит согласованные с Заказчиком значения обобщающих показателей, и включающее требования к составу и содержанию работ по созданию/модернизации системы информационной безопасности и системы менеджмента информационной безопасности.